ZTNA nace de la abreviatura «Zero Trust Network Access» (Acceso a la red de Confianza Cero) y como ahora veremos, suponen un paso más allá de las VPN tradicionales.
Zero Trust parte de la premisa que las amenazas están presentes tanto dentro como fuera de la red. Por ello, trata de verificar y autenticar a cada usuario y dispositivo antes de autorizar el acceso a los recursos internos de la red.
El auge de ZTNA
Durante casi tres décadas, el acceso remoto seguro ha estado dominado por las conocidas VPN. Pero, en todo este tiempo, las necesidades de las redes empresariales han cambiado:
El número de usuarios remotos ha creciendo muchísimo, gracias en parte, al teletrabajo. Además, aplicaciones críticas del negocio se han ido migrando a la nube.
Un nuevo enfoque está desplazando a las VPNs.
Definido por Gartner como acceso a la red de confianza cero, ZTNA permite a las empresas un acceso ágil, seguro y preciso de los usuarios solo a los recursos que necesitan, y en el momento en que lo necesitan.
Para comprender por qué estas soluciones continúan aumentando en popularidad, veamos por qué ZTNA es diferente a una VPN tradicional y sus ventajas.
Diferencias entre una VPN y ZTNA

Enfoque de la Seguridad.
Seguridad centrada en la red (perímetro).
Las VPN permiten a los usuarios entrar en la red sin necesidad de verificar previamente su identidad.
Seguridad basada en la identidad
Los servicios de ZTNA se basan en la filosofía de confianza cero, primero verifican quién puede entrar en la red, antes de que llege a acceder a ella.
Accesos y privilegios.
Acceso a la red.
Las VPN dan a los usuarios acceso cifrado a toda la red con libertad de movimientos. Pero falta de visibilidad de la actividad de los usuarios.
Acceso a la aplicación.
ZTNA restringe el acceso de los usuarios a aplicaciones específicas, lo que limita la exposición de datos y el movimiento lateral de amenazas en caso de cualquier ciberataque.
También, permite una mayor visibilidad de la actividad del usuario en el uso de las aplicaciones.
Hardware vs Software.
Limitado por Hardware.
Las VPN (IPSec/SSL) suelen requerir el uso de servidores VPN locales, y los dispositivos de los usuarios se conectan a estos servidores a través del firewall perimetral de la empresa. Es más engorroso de implementar; estático y difícil de escalar a medida que cambiar la infraestructura.
Definido por software.
ZTNA se puede configurar de este modo (HW), pero la mayoría de las veces se implementa como una solución en la nube. Es más flexible y escalable en entornos que cambian rápidamente de usuarios, dispositivos o aplicaciones.
Experiencia para el usuario final.
Peor experiencia para el usuario.
Las VPN tradicionales pueden provocar una experiencia de usuario deficiente, cuellos de botella, latencia, lentitud o desconexiones.
Más transparente en segundo plano.
ZTNA optimiza del tráfico de datos, reduce la latencia y proporciona una experiencia más fluida para los empleados.
Se establecen automáticamente conexiones seguras bajo demanda, en segundo plano, a medida que se necesitan.
La Seguridad de los dispositivos.
Insuficiente seguridad de los usuarios remotos.
La VPN de acceso remoto desconoce el estado del dispositivo utilizado para conectarse a la red corporativa.
Por tanto, no sería capaz de detectar si un dispositivo comprometido o infectado con malware está accediendo al servidor.
Seguridad desde cualquier dispositivo.
ZTNA realiza una evaluación continua de los dispositivos conectados y comprueban el estado de seguridad de los mismos. Puede excluir los sistemas comprometidos y denegarles el acceso a las aplicaciones y los datos corporativos.
Así, se elimina un importante vector de ataque para el ransomware y otros ataques de infiltración en la red.
¿Qué tener en cuenta antes de adoptar una solución ZTNA?

- ¿La solución es compatible únicamente con aplicaciones web o también lo es con las aplicaciones heredadas (hospedadas en el centro de datos)? ZTNA es preferible que sea compatible con las aplicaciones alojadas en la nube. También, con las aplicaciones heredadas que el cliente mantiene en sus instalaciones y que son fundamentales para su negocio.
- ¿Ofrece integración con el IdP?¿Qué estándares de autenticación admite el agente ZTNA? ¿Está disponible la integración con un directorio local o con servicios de identidad basados en la nube? Hay que tener en cuenta si la solución ZTNA es compatible con el proveedor de identidades que tiene la empresa, como pueda ser Microsoft Azure y Okta. O si por el contrario, se puede adaptar en función de la demanda.
- ¿Qué tipo de despliegue ofrece el proveedor? ¿Se ofrece como un agente instalado en los dispositivos o como un servicio basado en la nube? ¿Qué sistemas operativos son compatibles? ¿Admite dispositivos móviles?
- ¿Se integra con otras soluciones de ciberseguridad que ya tenga implantada la empresa? la mayoría de soluciones ZTNA pueden funcionar perfectamente como productos independientes. Otras en cambio, pueden integrarse estrechamente con otros productos de ciberseguridad, como el firewall y los endpoints. Otorgándonos un extra, en lo que a protección se refiere.
Más información sobre ZTNA
Aquí tenéis estos recursos que os serán de ayuda:
- Análisis del mercado: Guía de mercado para el acceso a la red Zero Trust de Gartner 2022
- PDF técnico: Las seis principales ventajas de ZTNA frente a las vpn de acceso remoto (publicado por Sophos)